Die Zielgruppe für LocalCDN ist eigentlich unabhängig von dFPI, denn dFPI verhindert nicht, dass ein Drittanbieter kontaktiert wird. Man könnte es eher vergleichen mit den unnötigen bzw. unerwünschten Kontakten in diversen Androids zu
- connectivitycheck.gstatic.com
- time.android.com
- supl.google.com
Natürlich könnte man alles durch ein VPN oder Tor schicken, aber nicht jeder kann oder möchte das - vor allem wenn Webseiten dann den Zugang komplett unterbinden oder Captchas einbinden. Letzteres ist besonders ärgerlich, wenn man die Webseite häufiger aufrufen muss.
Die Erweiterung ist vor allem dann sinnvoll, wenn man uBlock Origin im Medium oder Hard Mode laufen lässt. Nur so lässt sich dann das Problem mit „enumerating badness“ wirklich lösen und „enumerating goodness“ anwenden. Man muss aber auch sagen, dass die Erweiterung nicht alle Webseiten und alle Ressourcen abdecken kann, denn das ist unmöglich. Bei cdnjs.com gibt es dazu irgendwo eine Übersicht mit den rund 5000 Libraries (zzgl. aller Versionen). Wie auch alle anderen Schutzmaßnahmen, hängt es sehr stark von den besuchten Webseiten ab, ob und wie viele Ressourcen ersetzt werden können.
Das Ziel sollte eigentlich sein, dass es Erweiterungen wie decentraleyes oder LocalCDN gar nicht erst gibt. Der Betreiber einer Webseite kann ohne Probleme den ganzen „Krempel“ an JavaScript, CSS und Fonts einfach selbst hosten. Der ursprüngliche Einsatzzweck von CDN war völlig legitim, aber bei den aktuellen Bandbreiten und der geringen Dateigrößen ist ein CDN (neben dem Privatsphäre-Problem) zum (Sicherheits-)Risiko (siehe Single Point of Failure) mutiert. Erst vor kurzem ist JSDelivr ausgefallen und reist dann natürlich unzählige Webseite mit sich mit, weil dort nichts funktioniert. Diese CDNs sind auch sicherheitstechnisch ein lukratives Ziel, bspw. als im Jahr 2021 der Anbieter CDNJS kompromittiert wurde.
Ganze extreme binden dann diese externen Ressourcen nicht ein mal über eine Versionsnummer ein, sondern mit latest oder verwenden gar kein SRI - vergleichbar als würde man mit verbundenen Augen mit dem Auto fahren und erwarten, dass nichts passiert.